Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-4315

de Karl Vanlouwe (N-VA) du 23 décembre 2011

à la vice-première ministre et ministre de l'Intérieur

Attaques et délinquance informatiques - Protection informatique - Site web eCops.be - Cas particulier du SPF Intérieur - Initiatives et priorités

criminalité informatique
protection des données
protection des communications
espionnage
Comités permanents de contrôle des services de police et de renseignements
Institut belge des services postaux et des télécommunications
Belnet
défense stratégique
ministère
administration électronique
site internet

Chronologie

23/12/2011Envoi question
15/5/2012Réponse

Réintroduction de : question écrite 5-3128

Question n° 5-4315 du 23 décembre 2011 : (Question posée en néerlandais)

La veille du sommet européen du 22 mars 2011, la Commission européenne et le Service européen pour l'action extérieure (SEAE) ont été touchés pour une cyberattaque, jugée particulièrement grave car elle visait spécialement des directions générales et des fonctionnaires de la Commission européenne.

Dès 2009, la Direction de la Sécurité de la Commission avait établi un plan d'action contre les cyberattaques. Les États membre y étaient priés de créer à l'horizon 2012 un Computer Emergency Response Team capable de détecter les logiciels malveillants. En Belgique, le Computer Emergency Response Team (CERT) est actif depuis 2010 et on s'affaire actuellement à le rendre progressivement opérationnel.

Le CERT remplit sa mission en collaboration et en synergie avec d'autres instances, telles l'IBPT, les Computer Crime Units, le SPF Justice et la Défense. Selon une concertation antérieure, la collaboration entre ces acteurs devait cependant encore être formalisée. Un groupe de travail pour la gestion des incidents serait en train d'élaborer une proposition réglant la coopération entre les divers intervenants fédéraux.

La Computer Crime Unit de la Police fédérale lutte contre la cyberdélinquance aux échelons tant fédéral (FCCU) que régionaux (RCCU). Le site www.eCops.be permet au citoyen d'en dénoncer différentes formes (publicité trompeuse, publicité non sollicitée, pornographie enfantine,...)

Inutile de souligner que l'internet et les systèmes informatiques intégrés, nationaux et internationaux, sont cruciaux pour le fonctionnement d'un pays. Les États-Unis d'Amérique ont récemment estimé qu'une cyberattaque peut être considérée comme une attaque contre le pays, par exemple lorsqu'elle vise des informations sensibles ou des réseaux électriques essentiels. Il faut s'interroger sur la réponse à apporter à une cyberattaque.

Le Comité R a publié le 24 août 2011 un rapport sévère à l'égard de la politique fédérale en matière de protection informatique. Il affirme que l'absence d'action fédérale globale en ce domaine rend notre pays particulièrement vulnérable aux attaques contre ses systèmes et ses réseaux d'information vitaux.

Aujourd'hui, plusieurs instances fédérales se préoccupent de sécuriser les systèmes informatiques : l’Autorité nationale de sécurité (ANS), le Service public fédéral Technologie de l'information et de la communication (Fedict), le fournisseur d'internet fédéral BelNET et l’Institut belge des services postaux et des télécommunications (IBPT). Toutefois, selon le rapport, aucune d'entre elles ne dispose d'un panorama complet de l'infrastructure critique des systèmes informatiques.

Le Comité R s'inquiète aussi de la gestion du personnel des services de renseignement et de l'insuffisance des moyens qui permettraient d'engager du personnel qualifié.

Enfin, le Comité R observe que la législation belge ne permet de neutraliser des systèmes hostiles étrangers qu'en cas de cyberattaque sur les systèmes de la Défense. Si les attaques visent d'autres SPF ou d'autres infrastructures critiques nationales, on ne peut réagir qu'a posteriori et défensivement, sans pouvoir neutraliser l'assaillant.

Voici mes questions à la ministre :

1) Combien de personnes sont-elles actuellement affectées à la Computer Crime Unit de la Police fédérale ? Je souhaiterais la ventilation entre FCCU et RCCU.

2) Depuis sa création, combien d'incidents cybercriminels le CERT a-t-il signalés à son département ?

- Je souhaite une ventilation des incidents selon les catégories normaux - sérieux -majeurs, avec quelques exemples pour chacune.

- Combien d'incidents examine-t-on actuellement ?

- Pour combien d'entre eux l'enquête est-elle clôturée et le dossier a-t-il été transmis à la Justice ? Pour combien a-t-il fallu une enquête interdépartementale ?

- Pour combien d'entre eux l'enquête ne peut-elle pas se poursuivre ? Combien d'incidents a-t-on classés en raison d'une mauvaise transmission de l'information ?

3) Selon les normes de l'Union européenne, les SPF et les services du parlement fédéral sont-ils adéquatement protégés contre les cyberattaques ? Quelles normes de sécurité observe-t-on et pourquoi ?

4) Existe-t-il un « Disaster Recovery Plan » en guise de position de repli si les systèmes critiques de notre pays étaient victimes d'une cyberattaque ?

5) Le département de la ministre a-t-il déjà désigné un conseiller à la coordination de la sécurité informatique ? Quelle est sa mission et à qui rapporte-t-il ?

3) Comment se déroule la collaboration avec le SPF Justice, lequel coordonne le projet de cyberdéfense ? Prend-on assez d'initiatives et se concerte-t-on suffisamment ? Respecte-t-on encore les délais prévus ?

- Quel rôle le SPF Intérieur joue-t-il en cette matière ?

- À quelle fréquence annuelle les représentants de l'Intérieur se réunissent-ils avec ceux du SPF Justice pour parler de cyberdéfense ? Est-elle suffisante ?

7) Comment se passe la collaboration en matière de cyberdéfense avec la Défense, Fedict, l'Économie, la Politique scientifique et les Affaires étrangères ? L'a-t-on formalisée pour que le CERT et le SPF Justice puissent réagir en temps utile à un incident ?

8) Quels sont les secteurs prioritaires du projet de cyberdéfense et quels acteurs s'occupent-ils de quels secteurs ?

9) Que peut faire le gouvernement pour réduire la vulnérabilité de notre pays ? Met-on en œuvre une stratégie coordonnée de cyberdéfense?

10) Quel rôle le Comité ministériel du renseignement et de la sécurité joue-t-il dans la coordination du rôle des services de renseignement dans le projet de cyberdéfense ?

11) Le Comité R s'inquiète de la gestion du personnel des services de renseignement et de l'insuffisance des moyens qui permettraient d'engager du personnel qualifié. Le département de la ministre est-il confronté au même problème ?

11) Le département de la ministre partage-t-il le souci d'augmenter les possibilités de neutraliser les cyberattaques, au lieu de ne pouvoir réagir qu'a posteriori et défensivement ?

12) Combien de fois des documents du SPF Intérieur ont-ils été volés à la suite d'une cyberattaque ? Quand cela s'est-il produit, de quels documents s 'agissait-il et quel était leur niveau de sensibilité ? Quelles mesures a-t-on prises ?

13) Quelles infrastructures, identifiées par le SPF Intérieur comme critiques et sensibles, sont-elles privilégiées en matière de cyberdéfense ?

Réponse reçue le 15 mai 2012 :

L’honorable membre trouvera ci-après la réponse à ses questions.

Question 1.

Pour l’instant il y a 180 membres du personnel (policiers spécialisés en matière d'analyse des systèmes informatiques et de télécommunication et personnel administratif) : 31 au niveau fédéral (FCCU) et 149 au niveau de l’arrondissement judiciaire (RCCU). Le gouvernement a autorisé en 2006 une augmentation de la capacité des CCU (Computer Crime Unit) de 44 personnes via un financement récurrent supplémentaire. Les budgets en personnel disponibles ont été revus au sein de la police fédérale afin de rendre l’engagement de personnel spécialisé possible. En 2010 et 2011, respectivement 28 et 20 aspirants inspecteurs principaux spécialisés en informatique ont été engagés sur base de leur diplôme. Ces forces dynamiques seront disponibles aux CCU en 2012 pour la première vague d'engagements et en 2013 pour la dernière vague.

Question 2.

Cette question relève de la compétence de mon collègue ayant les télécommunications dans ses attributions ainsi que du secrétaire d’État compétent pour le Service public fédéral Technologie de l’Information et de la Communication (Fedict).

Question 3.

À l’heure actuelle, chaque Service public fédéral (SPF) est responsable d’assurer la sécurité de son propre réseau et reste libre quant aux moyens à mettre en œuvre pour y arriver. Quant à l’avenir, dans la mesure où la déclaration gouvernementale du 1er décembre 2011 précise que le Gouvernement élaborera une stratégie fédérale de sécurité des réseaux et systèmes d’information, je me réfère à la réponse du 1er ministre.

Question 4.

En 2005, la plateforme de concertation sur la sécurité de l'information BELNIS (Belgian network information security) a été mise en place sous la présidence de Fedict. Dans cette plateforme, diverses institutions, qui sont actives en matière de sécurité d’information, se réunissent mensuellement pour élaborer des recommandations sur les divers sujets relatifs à cette problématique.

L’un des groupes de travail de cette plateforme a justement comme objectif d’optimaliser les procédures d’alerte et de réaction lors d’un incident ICT en Belgique.

Question 5.

Afin de remplir la fonction de coordinateur officiel de sécurité de l'information, un marché public a été attribué en décembre 2011 à la firme ICT Control S.A..

Questions 6 et 7.

À l’heure actuelle, la coordination interdépartementale dans ce domaine se fait au sein de la plateforme de concertation sur la sécurité de l’information BELNIS. Les réunions plénières ont lieu une fois par mois (sauf juillet et août) et plusieurs groupes de travail se réunissent également chaque mois en fonction des thématiques abordées.

Cette plateforme permet l’échange d’informations et de bonnes pratiques entre les diverses autorités représentées, en ce compris le CERT.be, mais elle ne dispose toutefois d’aucune compétence opérationnelle. L’amélioration et le renforcement de cette collaboration doit faire l’objet d’un examen dans le cadre de l’élaboration d’une stratégie nationale de sécurité de l’information en sorte que je me réfère à la réponse donnée par le 1er ministre.

Question 8.

Dans le domaine de la prévention, la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques impose aux exploitants d’une infrastructure désignée comme critique de nommer un point de contact pour la sécurité mais également d’élaborer un P.S.E. (plan de sécurité de l’exploitant) visant à prévenir, atténuer et neutraliser les risques d’interruption du fonctionnement ou de destruction de son infrastructure par la mise au point de mesures matérielles et organisationnelles internes.

Ces mesures peuvent aussi bien être physiques, par exemple, le contrôle d’accès ou la surveillance des points névralgiques, que logiques c’est-à-dire spécifiques aux systèmes ou réseaux informatiques de l’infrastructure en question (installation de logiciels de détection de malwares, etc.).

Ces mesures logiques peuvent bien entendu être prises d’initiative par l’exploitant, dans la mesure où il incombe à ce dernier d’élaborer son plan de sécurité sur la base d’une analyse des risques consistant à identifier les principaux scenarios de menaces potentielles, en ce compris, le cas échéant, les cyber menaces.

Il reste par ailleurs possible de contraindre l’exploitant d’inclure ce type précis de mesures dans son plan de sécurité. Si la loi en prévoit en effet le contenu minimum, elle laisse la possibilité pour le Roi, pour un secteur ou sous-secteur déterminé, d’en détailler le contenu.

À l’heure actuelle le champ d’application de cette loi couvre, pour ce qui concerne les infrastructures critiques nationales, les quatre secteurs suivants : l’énergie, les transports, les finances et les communications électroniques publiques.

Question 9.

Dans la mesure où la déclaration gouvernementale du 1er décembre 2011 précise que le Gouvernement élaborera une stratégie fédérale de sécurité des réseaux et systèmes d’information, je me réfère à la réponse du 1er ministre.

Question 10.

Cette question relève de la compétence du 1er ministre

Question 11.

Il est en effet difficile de recruter du personnel hautement qualifié dans le domaine de la sécurité ICT. Jusqu’à présent, mon département s’est toujours efforcé de faire le maximum pour assurer la sécurité de son réseau avec les moyens et budgets octroyés. Il me semble que dans le futur, cette problématique pourrait être étudiée dans le cadre d’une stratégie nationale de sécurité de l’information. Concernant cette stratégie, je renvoie à la réponse du 1er ministre.

Question 12.

Une telle réaction offensive n’est actuellement possible que dans le cas où l’infrastructure militaire est visée. La possibilité d’étendre cette possibilité au civil doit être examinée dans le cadre d’une stratégie nationale de sécurité de l’information. À nouveau, je me réfère à la réponse donnée par le 1er ministre.

Question 13.

Jusqu’à présent, je n’ai pas connaissance de documents qui auraient été volés dans mon département à la suite d’une cyberattaque.

Question 14.

Pour des raisons évidentes de sécurité, il n’est pas permis de divulguer la liste des infrastructures critiques identifiées en Belgique.